1104 セキュリティログが満杯

セキュリティログが上限に達し、かつ「上書きしない」保持設定になっているときに記録される。監査証跡に空白（記録できない期間）が生まれる直前のサインになる。

概要

サブカテゴリは Other Events、記録元は Microsoft-Windows-Eventlog。ログファイルが最大サイズに達し、保持方式が「イベントを上書きしない（手動でクリア）」のときに発生する。上書きを許可している環境では起きない。

発生契機・方法

• ログの最大サイズ到達 + 保持方式「上書きしない」の組み合わせ。
• 短時間に大量のイベントが発生してログが急に埋まったとき。攻撃者が意図的にノイズイベントを大量発生させ、ログを満杯にして以降の記録を止める使い方もありうる。

セキュリティ上の確認事項

• これ以降のイベントが記録されない＝監査証跡に穴が空くため、運用上の優先対応が必要。
• 急な満杯は、直前に大量イベントを生んだ原因（ブルートフォースや大量のオブジェクトアクセスなど）の調査につながる。

ログレビュー時の注意観点

• 本来はログ管理（ローテーションや SIEM への転送）で未然に防ぐべき状態。1104 が出ること自体が設定不備の指標になる。
• 満杯以降の空白期間は、SIEM 側へ転送済みのデータで補完する。

主なフィールド

固有のデータフィールドは持たない（内部的に FileIsFull の記録のみ）。Computer と TimeCreated で発生ホストと時刻を確認する。

参考

• Microsoft Learn: 1104(S) The security log is now full.
• Ultimate Windows Security: Event ID 1104